【Log4j2に対する無報告】中国当局、アリババのクラウド子会社との情報共有提携停止 [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
[北京/香港 22日 ロイター] - 中国の規制当局は22日、電子商取引(EC)大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止した。
サイバーセキュリティー上の脆弱性を迅速に報告・対処しなかったことを非難している。政府系メディアが伝えた。
21世紀経済報道が工業情報省による最近の通知を基に伝えたところによると、阿里雲は人気の高いオープンソースのロギングフレームワーク「Apache Log4j2」の脆弱性を中国当局に直ちに報告しなかった。
これを受けて同省は、サイバーセキュリティーの脅威や情報共有プラットフォームに関する阿里雲との協力パートナーシップを一時停止するとともに、6カ月後に再評価し、同社の内部改革に応じて復活させることにしたという。
今回の措置は、国家安全保障の名の下に主要なオンラインインフラやデータの管理を強化しようとする中国当局の意図を浮き彫りにしている。中国政府は国有企業に対し、来年までにデータをアリババや騰訊控股(テンセント・ホールディングス)といった民間事業者から国が後押しするクラウドシステムに移行するよう求めている。
また、世界中の企業や政府の間でパニックを引き起こした脆弱性に対する中国当局の懸念も浮き彫りにした。「Apache Log4j2」はJavaベースのツールで、企業のシステムやウェブアプリケーションで広く使われている。
工業情報省は先週の通知で「この脆弱性は機器の遠隔操作につながる可能性があり、これは機密情報の盗難や機器のサービス阻害といった重大な被害につながる可能性がある。リスクの高い脆弱性だ」と指摘した。
通知文によると、阿里雲は最近、「Apache Log4j2」コンポーネントにリモートコード実行の脆弱性を発見し、米国の「Apache Software Foundation」に通知。同省はその後、阿里雲からではなく、第三者からこの問題に関する報告を受けたという。
阿里雲は今回の停止措置についてコメントを控えた。
ロイター
https://jp.reuters.com/article/china-alibaba-idJPKBN2J10DD >>1
うちの会社の取引先
1 Log4jはv1.*系だから問題なし
2 Log4net使ってるから問題なし
ぶっ飛ばしてやりたいんだが
もっと問題じゃねえかよと 中共と情報共有パートナーシップてさー
ヤバイやつやろ >阿里雲(アリババ・クラウド・コンピューティング)
「ババ」は、どこに行ったのだろう。 バージョン1には問題の脆弱性がない
でもサポート切れてるから最新版使った方がいいよってレベル 政府がクラウドの情報を吸い上げてるってことならマジでキモい >>7
高度化しようとして余計な機能を追加したから。目的を絞ればいいのに何でも出来るようにしたくなるんだろうな。 コロナウイルスの感染拡大を迅速に報告・対処しなかったくせに 国家情報法が中国に在る限り、中国を起点としたビジネスは成り立たないなぁ。 外部からはリバースプロキシ経由でwebサーバ
webサーバからは外部へのrouting無しにしとけ >>2
だったら、Log4j 2.17.0にバージョンアップする工数分の金払えよ。
こっちは客が承認した使用に基づいて構築してるんだ。 >>9
v1も脆弱性ありなんでな
知ったかすんならGithubくらい見ようや >>19
1系はデフォの設定で使ってる分には今回の脆弱性の影響は受けないな。
あのオプション有効にしてるのは稀じゃね。
>>20
すまんね、SIerの人間だ。
要件を客が承認して、仕様凍結して、受入試験して
検収してんのに後から金も払わず文句しかつけてこない
客(大体天下り団体)に嫌気が差しててね。
航空局だと納品後自前のテスト環境で自分達で1年試験して
そこでバグや使用誤り見つけてくれるんだよ。
もちろん予算の問題もあるがユーザが金出したから後は知らねえよ、
みたいに投げっぱなしで良いシステムはできないと声を大にして言いたい。
まあ一番のガンはそれを容認する経営層と営業だがな。 >>21
出来損ないの底辺職じゃーん
もっとも使えない人種w
話が通じない、お客の要望を汲み取れない、自分で書いてるソースの意味も分からない
…その割に金寄越せ!金寄越せ!だけはいっちょ前 >>1
悪用しそこねたアル
とっとと教えなかったアリババはお仕置きアル >>16
そういうことだよな。
独り占めして諜報活動に利用したかったんやね。 >中国政府は国有企業に対し、来年までにデータをアリババや騰訊控股(テンセント・ホールディングス)といった民間事業者から国が後押しするクラウドシステムに移行するよう求めている。
怖すぎ
こんなんされたら中国のサービスも製品も何も使えなくなる >>2
Log4net は一度サポート止まったが、再開してるし
以前問題になったセキュリティ問題も塞がってるぞ ■ このスレッドは過去ログ倉庫に格納されています